Jak włączyć podpisywanie LDAP w Windows Server

  • 09/08/2020
  • 6 minut na przeczytanie
    • D
    • s

W tym artykule opisano, jak włączyć podpisywanie LDAP w systemie Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 i Windows 10.

Oryginalna wersja produktu: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 – wszystkie edycje
Oryginalny numer KB: 935834

Podsumowanie

Można znacznie poprawić bezpieczeństwo serwera katalogów, konfigurując serwer, aby odrzucał wiązania LDAP Simple Authentication and Security Layer (SASL), które nie żądają podpisywania (weryfikacji integralności), lub aby odrzucał proste wiązania LDAP, które są wykonywane na połączeniu czystego tekstu (nieszyfrowanym za pomocą protokołu SSL/TLS). Wiązania SASL mogą zawierać protokoły takie jak Negotiate, Kerberos, NTLM i Digest.

Niepodpisany ruch sieciowy jest podatny na ataki typu replay. W takich atakach, intruz przechwytuje próbę uwierzytelnienia i wystawienie biletu. Intruz może ponownie użyć biletu do podszycia się pod prawowitego użytkownika. Dodatkowo, niepodpisany ruch sieciowy jest podatny na ataki typu man-in-the-middle (MIM), w których intruz przechwytuje pakiety pomiędzy klientem a serwerem, zmienia je, a następnie przesyła dalej do serwera. Jeśli taka sytuacja wystąpi na serwerze LDAP, atakujący może spowodować, że serwer podejmie decyzje oparte na sfałszowanych żądaniach klienta LDAP.

Jak wykryć klientów, którzy nie używają opcji Wymagaj podpisu

Po wprowadzeniu tej zmiany w konfiguracji, klienci, którzy polegają na niepodpisanych wiązaniach SASL (Negotiate, Kerberos, NTLM, lub Digest) LDAP lub na prostych wiązaniach LDAP przez połączenie inne niż SSL/TLS, przestają działać. Aby pomóc w identyfikacji tych klientów, serwer katalogowy Active Directory Domain Services (AD DS) lub Lightweight Directory Server (LDS) loguje podsumowanie Event ID 2887 jeden raz na 24 godziny, aby wskazać, ile takich powiązań wystąpiło. Zalecamy skonfigurowanie tych klientów tak, aby nie używali takich powiązań. Jeśli nie zaobserwujemy takich zdarzeń przez dłuższy czas, zalecamy skonfigurowanie serwera do odrzucania takich powiązań.

Jeśli musisz mieć więcej informacji, aby zidentyfikować takich klientów, możesz skonfigurować serwer katalogowy, aby dostarczał bardziej szczegółowe logi. To dodatkowe rejestrowanie spowoduje zapisanie w dzienniku zdarzenia o ID 2889, gdy klient spróbuje wykonać niepodpisane powiązanie LDAP. Wpis w dzienniku wyświetla adres IP klienta i tożsamość, której klient próbował użyć do uwierzytelnienia. Można włączyć to dodatkowe rejestrowanie ustawiając w ustawieniach diagnostycznych 16 LDAP Interface Events wartość 2 (Basic). Aby uzyskać więcej informacji na temat zmiany ustawień diagnostycznych, zobacz Jak skonfigurować rejestrowanie zdarzeń diagnostycznych Active Directory i LDS.

Jeśli serwer katalogowy jest skonfigurowany do odrzucania niepodpisanych wiązań SASL LDAP lub prostych wiązań LDAP przez połączenie inne niż SSL/TLS, serwer katalogowy rejestruje zbiorczy identyfikator zdarzenia 2888 jeden raz na 24 godziny, gdy wystąpią takie próby wiązania.

Jak skonfigurować katalog, aby wymagał podpisywania serwera LDAP dla AD DS

Aby uzyskać informacje na temat możliwych skutków zmiany ustawień zabezpieczeń, zobacz Problemy z klientami, usługami i programami mogą wystąpić w przypadku zmiany ustawień zabezpieczeń i przypisania praw użytkownika.

Uwaga

Anomalia logowania Event ID 2889

Aplikacje korzystające z klientów LDAP innych firm mogą powodować generowanie przez system Windows nieprawidłowych wpisów Event ID 2889. Dzieje się tak w przypadku rejestrowania zdarzeń interfejsu LDAP i jeśli LDAPServerIntegrity jest równe 2. Użycie uszczelnienia (szyfrowania) spełnia wymagania ochrony przed atakiem MIM, ale Windows i tak rejestruje zdarzenie o numerze 2889.

Tak się dzieje, gdy klienci LDAP używają tylko uszczelnienia wraz z SASL. Widzieliśmy to w terenie w połączeniu z klientami LDAP innych firm.

Gdy połączenie nie używa zarówno podpisywania, jak i pieczętowania, kontrola wymagań bezpieczeństwa połączenia używa flag poprawnie i rozłącza się. Sprawdzenie generuje błąd 8232 (ERROR_DS_STRONG_AUTH_REQUIRED).

Używanie Group Policy

Jak ustawić wymóg podpisywania LDAP serwera

  1. Wybierz Start > Uruchom, wpisz mmc.exe, a następnie wybierz OK.
  2. Wybierz File > Add/Remove Snap-in, wybierz Group Policy Management Editor, a następnie wybierz Add.
  3. Wybierz Group Policy Object > Browse.
  4. W oknie dialogowym Browse for a Group Policy Object wybierz Default Domain Controller Policy w obszarze Domains, OUs, and linked Group Policy Objects, a następnie wybierz OK.
  5. Wybierz Finish.
  6. Wybierz OK.
  7. Wybierz Default Domain Controller Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, a następnie wybierz Security Options.
  8. Kliknąć prawym przyciskiem myszy Kontroler domeny: Wymagania dotyczące podpisywania serwera LDAP, a następnie wybierz polecenie Właściwości.
  9. W oknie dialogowym Właściwości kontrolera domeny: LDAP server signing requirements Properties, włącz opcję Define this policy setting, wybierz opcję Require signing na liście Define this policy setting, a następnie wybierz opcję OK.
  10. W oknie dialogowym Confirm Setting Change wybierz opcję Yes.

How to set the client LDAP signing requirement by using local computer policy

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Finish.
  5. Select OK.
  6. Select Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
  7. Right-click Network security: LDAP client signing requirements, and then select Properties.
  8. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list, and then select OK.
  9. In the Confirm Setting Change dialog box, select Yes.

How to set the client LDAP signing requirement by using a domain Group Policy Object

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Browse, and then select Default Domain Policy (or the Group Policy Object for which you want to enable client LDAP signing).
  5. Select OK.
  6. Select Finish.
  7. Select Close.
  8. Select OK.
  9. Wybierz Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies, a następnie wybierz Security Options.
  10. W oknie dialogowym Network security: Wymagania podpisywania klienta LDAP Okno dialogowe Właściwości, wybierz opcję Wymagaj podpisywania na liście, a następnie wybierz OK.
  11. W oknie dialogowym Potwierdź zmianę ustawień wybierz opcję Tak.

Jak ustawić wymaganie podpisywania klienta LDAP za pomocą kluczy rejestru

Ważne

Postępuj uważnie zgodnie z krokami w tej sekcji. W przypadku nieprawidłowej modyfikacji rejestru mogą wystąpić poważne problemy. Przed modyfikacją należy wykonać kopię zapasową rejestru w celu odtworzenia w przypadku wystąpienia problemów.

Domyślnie w przypadku usług Active Directory Lightweight Directory Services (AD LDS) klucz rejestru nie jest dostępny. Therefore, you must create a LDAPServerIntegrity registry entry of the REG_DWORD type under the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

Note

The placeholder <InstanceName> represents the name of the AD LDS instance that you want to change.

How to verify configuration changes

  1. Sign in to a computer that has the AD DS Admin Tools installed.

  2. Select Start > Run, type ldp.exe, and then select OK.

  3. Select Connection > Connect.

  4. In Server and in Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.

    Note

    For an Active Directory Domain Controller, the applicable port is 389.

  5. After a connection is established, select Connection > Bind.

  6. Under Bind type, select Simple bind.

  7. Type the user name and password, and then select OK.

    If you receive the following error message, you have successfully configured your directory server:

    Ldap_simple_bind_s() failed: Strong Authentication Required

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.